1.

Le domande di pronuncia pregiudiziale riunite nel presente procedimento sono strettamente connesse a quelle delle cause C‑793/19, SpaceNet, C‑794/19, Telekom Deutschland, e C‑140/20, Commissioner of the Garda Síochána e a., sulle quali presento parimenti le mie conclusioni in data odierna ( 2 ).

2.

Nelle conclusioni SpaceNet e Telekom Deutschland e Commissioner of the Garda Síochána illustro i motivi che mi inducono a suggerire alla Corte una risposta al Bundesverwaltungsgericht (Corte amministrativa federale, Germania) e alla Supreme Court (Corte suprema, Irlanda) in linea con la giurisprudenza sulla direttiva 2002/58/CE ( 3 )«riepilogata» nella sentenza La Quadrature du Net ( 4 ).

3.

È vero, d’altro canto, che le due domande di pronuncia pregiudiziale proposte dalla Cour de Cassation (Corte di cassazione, Francia) non riguardano direttamente la direttiva 2002/58, bensì la direttiva 2003/6/CE ( 5 ) e il regolamento (UE) n. 596/2014 ( 6 ).

4.

Tuttavia, l’oggetto delle presenti due cause è sostanzialmente lo stesso degli altri rinvii pregiudiziali, vale a dire la questione se gli Stati membri possano imporre l’obbligo di conservare in modo generalizzato e indifferenziato i dati relativi al traffico delle comunicazioni elettroniche ( 7 ).

5.

Pertanto, sebbene nel caso in esame entrino in gioco la direttiva 2003/6 e il regolamento n. 596/2014 (che mirano a contrastare le operazioni qualificabili come abusi di mercato) ( 8 ), ritengo che in tale contesto sia applicabile la giurisprudenza della Corte riassunta nella sentenza La Quadrature du Net.

6.

Ai sensi dell’articolo 1 («Finalità e campo d’applicazione»):

«1.   La presente direttiva prevede l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche e per assicurare la libera circolazione di tali dati e delle apparecchiature e dei servizi di comunicazione elettronica all’interno [dell’Unione].

2.   Ai fini di cui al paragrafo 1, le disposizioni della presente direttiva precisano e integrano la direttiva 95/46/CE [del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GU 1995, L 281, pag. 31)]. Esse prevedono inoltre la tutela dei legittimi interessi degli abbonati che sono persone giuridiche.

3.   La presente direttiva non si applica alle attività che esulano dal campo di applicazione del [TFUE], quali quelle disciplinate dai titoli V e VI del trattato sull’Unione europea né, comunque, alle attività riguardanti la sicurezza pubblica, la difesa, la sicurezza dello Stato (compreso il benessere economico dello Stato ove le attività siano connesse a questioni di sicurezza dello Stato) o alle attività dello Stato in settori che rientrano nel diritto penale».

7.

L’articolo 2 («Definizioni») stabilisce quanto segue:

«Salvo diversa disposizione, ai fini della presente direttiva si applicano le definizioni di cui alla direttiva 95/46/CE e alla direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (direttiva quadro) [GU 2002, L 108, pag. 33].

Si applicano inoltre le seguenti definizioni:

(...)

(…)».

8.

L’articolo 15 precisa, al paragrafo 1, quanto segue:

«Gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui agli articoli 5 e 6, all’articolo 8, paragrafi da 1 a 4, e all’articolo 9 della presente direttiva, qualora tale restrizione costituisca, ai sensi dell’articolo 13, paragrafo 1, della direttiva 95/46/CE, una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica, e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica. A tal fine gli Stati membri possono tra l’altro adottare misure legislative le quali prevedano che i dati siano conservati per un periodo di tempo limitato per i motivi enunciati nel presente paragrafo. Tutte le misure di cui al presente paragrafo sono conformi ai principi generali del diritto comunitario, compresi quelli di cui all’articolo 6, paragrafi 1 e 2, del trattato sull’Unione europea».

9.

A norma dell’articolo 11:

«Fatte salve le competenze delle autorità giudiziarie, ogni Stato membro designa un’unica autorità amministrativa competente a vigilare sull’applicazione delle disposizioni adottate ai sensi della presente direttiva.

(…)».

10.

A tenore dell’articolo 12:

«1.   All’autorità competente sono conferiti tutti i poteri di vigilanza e di indagine necessari per l’esercizio delle sue funzioni. (...)

2.   Fatto salvo l’articolo 6, paragrafo 7, i poteri di cui al paragrafo 1 del presente articolo sono esercitati in conformità della legislazione nazionale e includono almeno il diritto di:

(...)

(…)».

11.

Tale regolamento contiene i seguenti considerando:

(...)

(...)

(...)

(…)».

12.

L’articolo 1 («Oggetto») prevede quanto segue:

«Il presente regolamento istituisce un quadro normativo comune in materia di abuso di informazioni privilegiate, comunicazione illecita di informazioni privilegiate e manipolazione del mercato (abusi di mercato), nonché misure per prevenire gli abusi di mercato, onde garantire l’integrità dei mercati finanziari dell’Unione e accrescere la tutela degli investitori e la fiducia in tali mercati».

13.

L’articolo 3 («Definizioni») indica al punto 27 che, ai fini del medesimo regolamento, si intende per ««registrazioni di dati relativi al traffico» le «registrazioni di dati relativi al traffico, quali definite nell’articolo 2, secondo comma, lettera b), della direttiva [2002/58]».

14.

L’articolo 22 («Autorità competenti»), dispone quanto segue:

«Fatte salve le competenze delle autorità giudiziarie, ogni Stato membro designa un’unica autorità amministrativa competente ai fini del presente regolamento (...)».

15.

L’articolo 23 («Poteri delle autorità competenti») così recita:

«(...)

2.   Per adempiere ai compiti loro assegnati dal presente regolamento, le autorità competenti dispongono almeno, conformemente al diritto nazionale, dei seguenti poteri di controllo e di indagine:

(...)

(...)

3.   Gli Stati membri provvedono all’adozione di misure appropriate che consentano alle autorità competenti di disporre di tutti i poteri di vigilanza e di indagine necessari allo svolgimento dei loro compiti.

(...)

4.   La segnalazione di informazioni all’autorità competente ai sensi del presente regolamento non costituisce violazione di eventuali limitazioni alla divulgazione delle informazioni imposte per contratto o per via legislativa, regolamentare o amministrativa, né implica, per la persona che effettua la segnalazione, alcuna responsabilità di qualsivoglia natura in relazione a tale segnalazione».

16.

Conformemente all’articolo 28 («Protezione dei dati»):

«Per quanto riguarda il trattamento di dati personali nell’ambito del presente regolamento, le autorità competenti svolgono i loro compiti ai fini del presente regolamento conformemente alle disposizioni legislative, regolamentari o amministrative nazionali che recepiscono la direttiva 95/46/CE. Per quanto riguarda il trattamento di dati personali effettuato dall’[Autorità europea degli strumenti finanziari e dei mercati (ESMA)] nell’ambito del presente regolamento, l’ESMA si conforma alle disposizioni del regolamento (CE) n. 45/2001 [del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati (GU 2001, L 8, pag. 1)].

I dati personali sono conservati per un periodo massimo di cinque anni».

17.

L’articolo L. 621‑10, primo comma, del CMF, nella versione vigente all’epoca dei fatti, disponeva quanto segue:

«Gli inquirenti e gli ispettori possono, a fini di indagine o di controllo, richiedere tutti i documenti a prescindere dal rispettivo supporto. Gli inquirenti possono anche richiedere i dati conservati e trattati dagli operatori di telecomunicazioni nel quadro dell’articolo L. 34‑1 del code des postes et des communications électroniques [(codice delle poste e delle comunicazioni elettroniche; in prosieguo: il “CPCE”)] e dai prestatori di servizi menzionati all’articolo 6, paragrafo I, punti 1 e 2, della loi n.°2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique [(legge n. 2004‑575, del 21 giugno 2004, in materia di promozione della fiducia nell’economia digitale)] ed ottenerne copia».

18.

Ai sensi dell’articolo L. 621‑10‑2 del CMF applicabile alla presente fattispecie:

«Ai fini delle indagini sugli abusi di mercato (...) gli inquirenti possono richiedere i dati conservati e trattati dagli operatori di telecomunicazioni, alle condizioni ed entro i limiti previsti dall’articolo L. 34‑1 del [CPCE], e dai prestatori di cui all’articolo 6, paragrafo I, punti 1 e 2, della [legge n. 2004‑575].

La comunicazione dei dati di cui al primo comma del presente articolo è subordinata all’autorizzazione preventiva di un responsabile delle richieste di dati di connessione.

(…)».

19.

A tenore dell’articolo L. 34‑1 del CPCE vigente all’epoca dei fatti:

«(…)

II. Fatte salve le disposizioni dei paragrafi III (...), gli operatori di comunicazioni elettroniche (...) cancellano o rendono anonimi tutti i dati relativi al traffico.

(...)

III. Ai fini dell’indagine, dell’accertamento e del perseguimento dei reati (...) possono essere rinviate per un periodo massimo di un anno le operazioni dirette ad eliminare o a rendere anonime determinate categorie di dati tecnici. (...)

(...)

VI. I dati conservati e trattati alle condizioni di cui ai paragrafi III, IV e V riguardano esclusivamente l’identificazione degli utenti dei servizi prestati dagli operatori, le caratteristiche tecniche delle comunicazioni fornite da questi ultimi e l’ubicazione delle apparecchiature terminali.

Essi non possono riguardare in alcun caso il contenuto della corrispondenza intercorsa o informazioni consultate, in qualsiasi modo, nell’ambito di tali comunicazioni.

(…)».

20.

L’articolo L. 10‑13 del CPCE disponeva quanto segue:

«I. In applicazione dell’articolo L. 34‑1, paragrafo III, gli operatori di comunicazioni elettroniche conservano, ai fini dell’indagine, dell’accertamento e del perseguimento dei reati:

II. Per le attività di telefonia gli operatori possono conservare, oltre ai dati menzionati al paragrafo I, i dati che consentono di identificare l’origine e l’ubicazione della comunicazione.

III. I dati di cui al presente articolo sono conservati per un periodo di un anno a decorrere dalla data della loro registrazione.

(…)».

21.

Il giudice del rinvio precisa che tali dati di collegamento sono quelli, generati o trattati a seguito di una comunicazione, relativi a circostanze attinenti alla comunicazione o riguardanti gli utenti del servizio, esclusa ogni indicazione sul contenuto dei messaggi.

22.

I fatti alla base dei due rinvii pregiudiziali in esame sono sostanzialmente analoghi.

23.

Con requisitoria introduttiva del 22 maggio 2014 veniva aperta un’indagine preliminare su atti qualificati come reati di abuso di informazioni privilegiate e ricettazione.

24.

Il 23 e 25 settembre 2015 l’Autorité des marchés financiers (Autorità dei mercati finanziari; in prosieguo: l’«AMF») trasmetteva al Pubblico ministero una segnalazione accompagnata da documenti provenienti da un’inchiesta di detta autorità e contenenti, in particolare, dati personali relativi all’utilizzo di linee telefoniche.

25.

Ai fini del recupero dei dati relativi all’uso delle linee telefoniche, gli agenti dell’AMF si basavano sull’articolo L. 621‑10 del CMF.

26.

In seguito a tale comunicazione, con tre requisitorie integrative del 29 settembre, 22 dicembre 2015 e 23 novembre 2016, l’attività istruttoria veniva estesa a taluni titoli e strumenti finanziari connessi, per i medesimi reati e atti qualificati come concorso, corruzione e riciclaggio.

27.

Iscritti nel registro degli indagati per fatti relativi a tali titoli dei capi d’imputazione di abuso di informazioni privilegiate e riciclaggio, VD e SR presentavano una domanda di nullità chiedendo l’annullamento di atti processuali per violazione, inter alia, degli articoli 7, 8, 11 e 52 della Carta e dell’articolo 15 della direttiva 2002/58.

28.

Dopo il rigetto delle loro domande con sentenze rispettivamente del 20 dicembre 2018 e del 7 marzo 2019 della chambre de l’instruction de la cour d’appel de Paris, 2e section (Sezione istruttoria della Corte d’appello di Parigi, 2a sezione, Francia), gli imputati hanno proposto ricorso dinanzi alla Cour de cassation (Corte di cassazione), la quale sottopone alla Corte le seguenti questioni pregiudiziali:

29.

Le domande di pronuncia pregiudiziale sono pervenute alla cancelleria della Corte rispettivamente il 24 luglio 2020 e il 20 agosto 2020.

30.

Hanno presentato osservazioni scritte VD, SR, i governi estone, francese, irlandese, polacco, portoghese e spagnolo nonché la Commissione europea.

31.

All’udienza pubblica tenutasi il 14 settembre 2021 sono comparsi VD, SR, i governi francese, danese, estone, spagnolo e irlandese, la Commissione europea e il Garante europeo della protezione dei dati.

32.

La normativa nazionale rilevante nelle presenti due cause è stata oggetto di talune decisioni giudiziarie nazionali che è opportuno menzionare.

33.

Il giudice del rinvio ha fatto presente che il primo comma dell’articolo L. 621‑10 del CMF è stato dichiarato incostituzionale con sentenza del Conseil constitutionnel (Consiglio costituzionale) del 21 luglio 2017 ( 9 ).

34.

Il Conseil constitutionnel (Consiglio costituzionale) ha tuttavia posticipato gli effetti della dichiarazione di incostituzionalità al 31 dicembre 2018.

35.

Nel frattempo, il legislatore nazionale ha introdotto nel CMF l’articolo L. 621‑10‑2, con cui ha istituito un sistema di autorizzazione preventiva, da parte di un’autorità amministrativa indipendente, per l’accesso ai dati di connessione.

36.

Secondo il giudice del rinvio:

37.

In tale contesto, la Cour de cassation (Corte di cassazione) conclude che l’«unica questione che si pone riguarda la possibilità di rinviare nel tempo le conseguenze della contrarietà a una convenzione internazionale dell’articolo L. 621‑10 del [CMF]» ( 12 ).

38.

Il giudice del rinvio, pertanto, non solleva questioni in ordine alla compatibilità dell’articolo L. 621‑10 del CMF con il diritto dell’Unione, bensì, partendo dall’incompatibilità di tale articolo con varie disposizioni della Carta, chiede soltanto se, come è accaduto nel diritto interno con gli effetti della declaratoria di incostituzionalità del medesimo articolo, sia possibile rinviare nel tempo anche gli effetti giuridici della sua contrarietà al diritto dell’Unione. Tale è l’oggetto della terza questione pregiudiziale.

39.

Successivamente ai due rinvii pregiudiziali in esame, il Conseil d’État (Consiglio di Stato) si è pronunciato con sentenza del 21 aprile 2021 ( 13 ) nel procedimento in cui è stato effettuato il rinvio pregiudiziale che ha dato luogo alla sentenza La Quadrature du Net.

40.

In detta sentenza, il Conseil d’État (Consiglio di Stato) ha deciso di disapplicare l’articolo L. 34‑1 del CPCE e di ordinare al governo di abrogare, entro sei mesi, l’articolo R. 10‑13 del CPCE, in quanto non delimitano debitamente le finalità dell’obbligo di conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione ( 14 ).

41.

Il Conseil d’État (Consiglio di Stato) ha fatto riferimento alla conformità delle norme nazionali controverse con la direttiva 2002/58. A suo avviso, dalla risposta fornita dalla Corte nella sentenza La Quadrature du Net si evince che esse dovevano essere disapplicate (écarter) nel procedimento principale (nel caso dell’articolo L. 34‑1 del CPCE) ( 15 ) o abrogate (nel caso dell’articolo R. 10‑13 del CPCE) ( 16 ).

42.

La rilevanza della sentenza La Quadrature du Net al fine di rispondere alla prima questione pregiudiziale di questi due rinvii è tanto più evidente in quanto detta sentenza ha già preso in considerazione, tra altre disposizioni, l’articolo R. 10‑13 del CPCE ( 17 ), che, insieme all’articolo L. 34‑1 del medesimo CPCE, costituisce la chiave per applicare l’articolo L. 621‑10 del CMF.

43.

Ricordo che, per ottenere i dati relativi all’utilizzo delle linee telefoniche da parte delle persone sospettate di aver commesso i reati sui quali verteva l’indagine su un possibile abuso di mercato, gli agenti dell’autorità amministrativa si erano basati proprio sull’articolo L. 621‑10 del CMF.

44.

Come ho già anticipato, il giudice del rinvio chiede se la normativa nazionale controversa sia compatibile con la direttiva 2003/6 e con il regolamento n. 596/2014, nella misura in cui l’una e l’altro possono fornire un fondamento specifico per l’obbligo di conservazione dei dati, diverso da quello contenuto nella direttiva 2002/58.

45.

Se è così, ritengo che le domande di pronuncia pregiudiziale non abbiano perduto il loro oggetto, nonostante l’incidenza che possono avere su tale normativa nazionale le sentenze dei giudici francesi sopra menzionate:

46.

Infatti, il Conseil d’État (Consiglio di Stato) non si è limitato ad imporre al governo l’obbligo di abrogare l’articolo R. 10‑13 del CPCE entro sei mesi, bensì gli ha espressamente ingiunto di «delimitare le finalità perseguite da tali articoli e di adeguare il quadro normativo concernente la conservazione dei dati di connessione» ( 19 ).

47.

Di conseguenza, la pronuncia della Corte nel merito potrà essere utile al giudice del rinvio, in quanto:

48.

La prima questione pregiudiziale verte sull’articolo 12, paragrafo 2, lettere a) e d), della direttiva 2003/6 e sull’articolo 23, paragrafo 2, lettere g) e h), del regolamento n. 596/2014.

49.

Tali disposizioni consentono alle autorità amministrative competenti di richiedere alle imprese di comunicazione elettronica (e, se del caso, a società di investimento, istituti di credito o istituti finanziari) le registrazioni ( 20 ) telefoniche esistenti e le informazioni relative al traffico quando vi sia il ragionevole sospetto che sia stato commesso un reato di abuso di mercato e tali registrazioni possano essere rilevanti ai fini delle relative indagini.

50.

La premessa da cui muove il giudice del rinvio è che l’accesso a tali registrazioni presuppone che «il legislatore nazionale [imponga] agli operatori delle comunicazioni elettroniche una conservazione temporanea ma generalizzata dei dati di connessione per consentire all’autorità amministrativa (...) di farsi consegnare dall’operatore le registrazioni esistenti relative allo scambio di dati (...), in particolare consentendo di risalire ai contatti stretti dagli interessati prima che emergessero i sospetti».

51.

Orbene, per quanto riguarda l’obbligo di conservare in modo generalizzato e indifferenziato i dati di connessione in ambiti diversi dalla sicurezza nazionale (per quanto qui rileva, nell’ambito della lotta contro gli abusi di mercato), è pienamente valida la giurisprudenza della Corte riepilogata nella sentenza La Quadrature du Net.

52.

È vero che la giurisprudenza della sentenza La Quadrature du Net è stata elaborata in relazione alla direttiva 2002/58, mentre le normative richiamate nella fattispecie dalla Cour de cassation (Corte di cassazione) sono la direttiva 2003/6 e il regolamento n. 596/2014.

53.

Tuttavia, la direttiva 2002/58 costituisce la normativa di riferimento per quanto attiene, come indica il suo titolo, al «trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche».

54.

Sia la direttiva 2003/6 (il cui oggetto specifico sono l’abuso di informazioni privilegiate e la manipolazione del mercato) sia il regolamento n. 596/2014 (dedicato agli abusi di mercato) contengono disposizioni che, come quelle citate nella prima questione dei presenti rinvii, riguardano il trattamento delle registrazioni relative allo scambio di dati.

55.

Si tratta pertanto di norme che, a tale specifico riguardo, puramente strumentale alla loro finalità e al loro oggetto, devono essere interpretate nel contesto del sistema istituito dalla direttiva 2002/58.

56.

Ciò si evince, a mio avviso, dall’articolo 12, paragrafo 2, lettera d), della direttiva 2003/6 e dall’articolo 23, paragrafo 2, lettere g) e h), del regolamento n. 596/2014:

57.

A mio avviso, nessuna di tali disposizioni concede autorizzazioni specifiche – diverse da quelle previste dalla direttiva 2002/58 – per conservare i dati. Esse si limitano ad autorizzare le amministrazioni competenti ad accedere ai dati conservati (esistenti) ai sensi della normativa che disciplina, in generale, il trattamento di tali dati personali nel settore delle comunicazioni elettroniche, vale a dire la direttiva 2002/58.

58.

Nemmeno l’articolo 28 del regolamento n. 596/2014 (la cui interpretazione, peraltro, non è richiesta dal giudice del rinvio) potrebbe essere invocato a titolo di presunta base giuridica autonoma per imporre l’obbligo di conservazione dei dati in tale ambito.

59.

Detto articolo, sotto la rubrica «Protezione dei dati» e, ancora una volta, riguardo al «trattamento dei dati personali»:

60.

Il silenzio della direttiva 2003/6 e del regolamento n. 596/2014 riguardo alla conservazione dei dati imposta agli operatori di comunicazioni elettroniche è comprensibile, tenuto conto della loro prossimità temporale alla direttiva 2002/58. Il legislatore europeo disponeva già di quest’ultima come quadro esaustivo di riferimento per delineare i contorni (e le eccezioni) di tale obbligo, il che rendeva superfluo un regime specifico di conservazione per contrastare gli abusi di mercato.

61.

Ne consegue che l’interpretazione data dalla Corte alla direttiva 2002/58 deve estendersi, automaticamente, alla conservazione dei dati detenuti dagli operatori di comunicazioni elettroniche che possono essere utilizzati dalle autorità inquirenti nell’ambito della lotta contro gli abusi di mercato.

62.

Le «registrazioni esistenti» alle quali fanno riferimento la direttiva 2003/6 e il regolamento n. 596/2014 possono essere solo le «registrazioni legittimamente esistenti», vale a dire, quelle effettuate in conformità alla direttiva 2002/58. È tale direttiva quella che, nel diritto dell’Unione, «prevede, tra l’altro, l’armonizzazione delle disposizioni nazionali necessarie per assicurare un livello equivalente di tutela dei diritti e delle libertà fondamentali, e in particolare del diritto alla vita privata e alla riservatezza, con riguardo al trattamento dei dati personali nel settore delle comunicazioni elettroniche» ( 26 ).

63.

La legittimità delle «registrazioni esistenti» può essere giustificata solo se, in definitiva, la loro esistenza è conforme alle prescrizioni della direttiva 2002/58.

64.

Il governo il francese contesta tale posizione. Esso sostiene che la risposta della Corte deve limitarsi all’interpretazione della direttiva 2003/6 e del regolamento n. 596/2014. L’una e l’altro autorizzerebbero gli Stati membri, implicitamente, ad introdurre un obbligo di conservazione generalizzata e indifferenziata. In caso contrario, il loro effetto utile sarebbe gravemente compromesso.

65.

Non condivido gli argomenti addotti dal governo francese, ma, quand’anche li si accogliesse, resta il fatto che tale presunta «autorizzazione implicita» sarebbe comunque subordinata alle condizioni cui, secondo la giurisprudenza della Corte, sono soggetti gli Stati membri quando si avvalgono della possibilità di imporre l’obbligo di conservazione generalizzata e indifferenziata dei dati conformemente alla direttiva 2002/58.

66.

In altri termini, se si ammettesse, per ipotesi, che la direttiva 2003/6 e il regolamento n. 596/2014 forniscono una base autonoma per la conservazione dei dati (quod non), tale conservazione sarebbe soggetta alle medesime condizioni che dovrebbero disciplinarla qualora essa fosse fondata su qualsiasi altra normativa dell’Unione.

67.

Ciò in quanto, in ultima analisi, dette condizioni derivano dalla salvaguardia dei diritti fondamentali garantiti dalla Carta, al cui rispetto fanno riferimento la direttiva 2003/6 e il regolamento n. 596/2014. Tali diritti sono per l’appunto quelli invocati dalla Corte nella giurisprudenza della sentenza La Quadrature du Net.

68.

Lo stesso governo francese e le altre parti intervenute nel presente procedimento, non hanno potuto evitare di fare riferimento alla dottrina elaborata in quest’ultima sentenza, in alcuni casi (come il governo portoghese o la Commissione) sottolineando che essa fornisce i criteri per rispondere alle questioni pregiudiziali in esame, in altri (come, in particolare, il governo irlandese) chiedendone espressamente la revisione.

69.

La discussione occasionata dai presenti procedimenti è stata quindi incentrata sulla questione se si debba confermare o rivedere la giurisprudenza della Corte relativa alla legittimità della conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione nell’ambito delle comunicazioni elettroniche.

70.

Come ho sostenuto nelle conclusioni Commissioner of the Garda Síochána e SpaceNet e Telekom Deutschland, presentate parimenti in data odierna, ritengo che non occorra rivedere la giurisprudenza della Corte relativa all’articolo 15, paragrafo 1, della direttiva 2002/58.

71.

In tale contesto, gli elementi indispensabili per rispondere al giudice del rinvio derivano, a mio avviso, direttamente dalla giurisprudenza della Corte riepilogata dalla sentenza La Quadrature du Net.

72.

Devo quindi rammentare, anzitutto, la dottrina elaborata dalla Corte nella suddetta sentenza, il cui punto 168 la sintetizza come segue:

«[L]’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, deve essere interpretato nel senso che osta a misure legislative che prevedono, ai fini di cui all’articolo 15, paragrafo 1, a titolo preventivo, una conservazione generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione. Per contro, l’articolo 15, paragrafo 1, letto alla luce degli articoli 7, 8 e 11 e dell’articolo 52, paragrafo 1, della Carta, non osta a misure legislative

se tali misure garantiscono, mediante norme chiare e precise, che la conservazione dei dati di cui trattasi sia subordinata al rispetto delle relative condizioni sostanziali e procedurali e che le persone interessate dispongano di garanzie effettive contro il rischio di abusi».

73.

L’idea chiave della giurisprudenza della Corte relativa alla direttiva 2002/58 è che gli utenti dei mezzi di comunicazione elettronica hanno il diritto di attendersi, in linea di principio, che le loro comunicazioni e i dati a queste correlati rimangano anonimi e non possano essere registrati, salvo loro consenso ( 27 ).

74.

L’articolo 15, paragrafo 1, della direttiva 2002/58 ammette deroghe all’obbligo di garantire la riservatezza. La sentenza La Quadrature du Net si sofferma sulla conciliazione di tali deroghe con i diritti fondamentali il cui esercizio potrebbe essere leso ( 28 ).

75.

La conservazione generalizzata e indifferenziata dei dati relativi al traffico potrebbe essere giustificata, secondo la Corte, solo dall’obiettivo della salvaguardia della sicurezza nazionale, la cui importanza «supera quella degli altri obiettivi di cui all’articolo 15, paragrafo 1, della direttiva 2002/58» ( 29 ).

76.

In tal caso (sicurezza nazionale), la Corte ha dichiarato che tale disposizione, letta alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta, «non osta, in linea di principio, a una misura legislativa che autorizzi le autorità competenti ad imporre ai fornitori di servizi di comunicazione elettronica di procedere alla conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione di tutti gli utenti dei mezzi di comunicazione elettronica per un periodo limitato, se ricorrono circostanze sufficientemente concrete che consentono di ritenere che lo Stato membro interessato affronti una minaccia grave (...) per la sicurezza nazionale che si rivela reale e attuale o prevedibile» ( 30 ).

77.

In particolare, secondo la Corte, «l’obiettivo di salvaguardia della sicurezza nazionale»«comprende la prevenzione e la repressione di attività tali da destabilizzare gravemente le strutture costituzionali, politiche, economiche o sociali fondamentali di un paese, e in particolare da minacciare direttamente la società, la popolazione o lo Stato in quanto tale» ( 31 ).

78.

Orbene, il senso della sentenza La Quadrature du Net non sarebbe rispettato se le sue dichiarazioni riguardo alla sicurezza nazionale potessero essere applicate a reati, anche gravi, che non attentino a quest’ultima, bensì alla sicurezza pubblica o ad altri interessi giuridicamente tutelati.

79.

La Corte ha quindi distinto attentamente le misure legislative nazionali che prevedono la conservazione preventiva, generalizzata e indifferenziata dei dati relativi al traffico e dei dati relativi all’ubicazione a fini di salvaguardia della sicurezza nazionale (punti da 134 a 139 della sentenza La Quadrature du Net) da quelle che attengono alla lotta contro la criminalità e alla salvaguardia della sicurezza pubblica (punti da 140 a 151 della medesima sentenza). Le une e le altre non possono avere la medesima portata, salvo privare tale distinzione di qualsiasi significato.

80.

Gli strumenti di conservazione dei dati relativi al traffico e dei dati relativi all’ubicazione ai fini della lotta contro le forme gravi di criminalità sono indicati, ripeto, ai punti da 140 a 151 della sentenza La Quadrature du Net. Ad essi occorre aggiungere, per identica finalità, quelli che autorizzano la conservazione preventiva degli indirizzi IP e dei dati relativi all’identità civile della persona (punti da 152 a 159 di detta sentenza), nonché la «conservazione rapida» dei dati relativi al traffico e dei dati relativi all’ubicazione (punti da 160 a 166 della sentenza citata).

81.

Non vi è dubbio che gli abusi di mercato siano assolutamente censurabili, in quanto ledono «l’integrità dei mercati finanziari e compromettono la fiducia del pubblico nei valori mobiliari e negli strumenti derivati». Nella stessa misura, essi possono essere qualificati, a seconda dei casi, come infrazioni sanzionabili e, nei casi più eclatanti, come reati gravi ( 32 ).

82.

Pertanto, il riferimento alla reciproca cooperazione tra le autorità competenti degli Stati membri nella prevenzione e nella lotta contro le forme gravi di criminalità che ledano due o più Stati membri o un interesse comune oggetto di una politica dell’Unione di cui all’allegato I del regolamento (UE) 2016/794 ( 33 ) include in tale nozione, insieme ad altre condotte sanzionabili, l’«abuso di informazioni privilegiate e [la] manipolazione del mercato finanziario».

83.

Tuttavia, il loro carattere criminoso, eventualmente anche grave, è lo stesso che potrebbero avere molte altre infrazioni che ledono interessi pubblici rilevanti e politiche dell’Unione. L’allegato I del regolamento 2016/794 elenca, tra altri esempi di forme gravi di criminalità, il traffico di stupefacenti, le attività di riciclaggio del denaro, l’organizzazione del traffico di migranti, la tratta di esseri umani, il rapimento, il sequestro e la presa di ostaggi, i reati contro gli interessi finanziari dell’Unione, la contraffazione e la pirateria in materia di prodotti, la criminalità informatica, la corruzione e la criminalità ambientale, compreso l’inquinamento provocato dalle navi.

84.

Gli interessi pubblici protetti mediante la configurazione come reati di alcune di tali condotte possono avere una rilevanza pari o superiore a quelli che vengono tutelati sanzionando gli abusi di mercato. Tuttavia, ciò non significa che le condotte in parola implichino una minaccia alla sicurezza nazionale, ai sensi della sentenza La Quadrature du Net ( 34 ).

85.

Come ha sostenuto la Commissione in udienza, gli obiettivi della direttiva 2003/6 e del regolamento n. 596/2014 tendono alla realizzazione di un mercato interno (in particolare nel settore dei mercati finanziari), ma non alla salvaguardia della sicurezza nazionale ( 35 ).

86.

Estendere la nozione di «minaccia contro la sicurezza nazionale» ai reati di abuso di mercato aprirebbe la possibilità di fare altrettanto con molte altre violazioni di interessi pubblici non meno rilevanti, ma che difficilmente un giudice penale farebbe rientrare nella suddetta nozione, molto più restrittiva. Se la Corte concedesse tale possibilità, l’attento bilanciamento sotteso alla sentenza La Quadrature du Net sarebbe stato vano.

87.

In definitiva, le registrazioni «esistenti» alle quali fanno riferimento l’articolo 12, paragrafo 2, lettera d), della direttiva 2003/6 e l’articolo 23, paragrafo 2, lettere g) e h), del regolamento n. 596/2914 possono essere solo quelle che la direttiva 2002/58, come interpretata dalla Corte, consente di conservare ai fini della lotta contro le forme gravi di criminalità e della salvaguardia della sicurezza pubblica. In nessun caso esse possono essere equiparate a quelle conservate in modo preventivo, generalizzato e indifferenziato per salvaguardare la sicurezza nazionale.

88.

Con la seconda questione pregiudiziale il giudice del rinvio chiede se, nel caso in cui la normativa francese relativa alla conservazione dei dati di connessione non fosse conforme al diritto dell’Unione, gli effetti di tale normativa possano essere mantenuti provvisoriamente.

89.

Considerata la data dei rinvii, il giudice a quo non ha potuto prendere in considerazione il fatto che la risposta ai suoi dubbi è rinvenibile nella sentenza (del 6 ottobre 2020) La Quadrature du Net (in particolare ai punti da 213 a 228 della stessa), che, sotto tale aspetto, si è attenuta alla giurisprudenza tradizionale.

90.

Secondo la Corte, una volta constatata una violazione dell’articolo 15, paragrafo 1, della direttiva 2002/58, letto alla luce degli articoli 7, 8, 11 e 52, paragrafo 1, della Carta, «il giudice del rinvio non può applicare una disposizione del suo diritto nazionale che lo autorizza a limitare nel tempo gli effetti di una dichiarazione di illegittimità ad esso incombente, in forza di tale diritto, della legislazione nazionale di cui trattasi nei procedimenti principali» ( 36 ).

91.

Ciò in quanto «[s]olo la Corte può, eccezionalmente e per considerazioni imperative di certezza del diritto, concedere una sospensione provvisoria dell’effetto di disapplicazione esercitato da una norma di diritto dell’Unione rispetto a norme di diritto interno con esso in contrasto» ( 37 ). «Limitazione nel tempo degli effetti dell’interpretazione data dalla Corte a tale diritto [che] può essere concessa solo nella stessa sentenza che statuisce sull’interpretazione richiesta» ( 38 ), il che non si è verificato nella sentenza dell’8 aprile 2014, Digital Rights Ireland e a. ( 39 ).

92.

Di conseguenza, se la Corte non ha ritenuto necessaria la limitazione nel tempo gli effetti della sua interpretazione della direttiva 2002/58, il giudice del rinvio non può decidere di prorogare l’efficacia di una normativa nazionale incompatibile con le disposizioni del diritto dell’Unione che, come nel caso della direttiva 2003/6 e del regolamento n. 596/2014, devono essere interpretate alla luce di tale prima direttiva.

93.

Sulla stessa linea della questione precedente, con la terza questione la Cour de cassation (Corte di cassazione) chiede se un giudice nazionale possa mantenere temporaneamente gli effetti di una normativa «che consente ai funzionari di un’autorità amministrativa indipendente incaricata di svolgere indagini sugli abusi di mercato di ottenere, senza previo controllo da parte di un organo giurisdizionale o di un’altra autorità amministrativa indipendente, la comunicazione dei dati di connessione».

94.

La premessa di tale interrogativo è, ancora una volta, che tale normativa, di per sé, risulta incompatibile con il diritto dell’Unione ( 40 ). E ciò è dichiarato dallo stesso giudice del rinvio: sebbene l’AMF sia un’autorità amministrativa indipendente, «la possibilità conferita ai suoi inquirenti di ottenere dati di connessione senza previo controllo da parte di giudice o di un’altra autorità amministrativa indipendente non era conforme ai requisiti stabiliti dagli articoli 7, 8 e 11 della Carta (...), quali interpretati dalla [Corte]» ( 41 ).

95.

Alla medesima soluzione conduce la sentenza della Corte del 2 marzo 2021, Prokuratuur (Condizioni di accesso ai dati delle comunicazioni elettroniche) ( 42 ), i cui punti 51 e seguenti sottolineano che l’accesso delle autorità nazionali competenti ai dati conservati deve essere subordinato a un controllo preventivo effettuato o da un giudice o da un’entità amministrativa indipendente che abbia la qualità di «terzo» rispetto a quella che chiede l’accesso ai dati.

96.

Dare tali circostanze, la risposta alla terza questione pregiudiziale deve essere identica alla risposta alla seconda.

97.

In considerazione di quanto precede, propongo alla Corte di rispondere alla Cour de cassation (Corte di cassazione, Francia) nei termini seguenti: